Journal ipv6 chez free... et maintenant ?

Posté par carlo le 14 décembre 2007 à 16:22.

Étiquettes : aucune

déc.

2007

Bonjour à tous,

il semblerait qu'on ait enfin de l'IPv6 chez un FAI français grand public. J'ai nommé Free.
Et bien que ce ne soit destiné pour l'instant qu'aux abonnés en zone dégroupée, et malgré le fait que je ne fasse pas partie de ces chanceux, je me pose la question : et maintenant ?

En admettant que je sois connecté en ipv6 sur mon adsl free, que devrais-je faire pour être vraiment ipv6-compliant ? et pour profiter de la puissance du truc.
- activer sur mes diverses machines et divers OS (debian, openbsd) l'IPv6 ce qui ne devrait pas être trop trop dur
- ensuite ??? que faire de mon openbsd routeur qui fait du NAT, il devient obsolète ? on connecte toutes les machines directement sur internet ? quid de la sécurité ?, vu que le routeur faisait firewall... du coup les machines connectées doivent être encore plus protégées ?

n'empêche 2^64 soit 18 446 744 073 709 551 616 adresses IP par abonné... ça en jette :)

# Re : Et maintenant

Posté par zul (site web personnel) le 14 décembre 2007 à 16:33. Évalué à 8.

Ton routeur OpenBSD, bah il va se recycler en routeur ipv6 (+ firewall).

Un routeur ipv6 est une machine qui forwarde des paquets ipv6 (par definition) et un host qui ne le fait pas.

C'est pas parce que toutes tes machines à l'intérieur sont maintenant accessibles directement sans hack^W Nat que les paquets vont arriver par magie. Si l'unique route passe par ton routeur OpenBSD, tous les paquets passeront par cette machine, et tu pourra filtrer comme avant.

Voir http://www.point6.net pour plein de documentations interessante s(quand il sera reup), sur comment ça marche ipv6 et comment on peut configurer des box.
- [^] # Re: Re : Et maintenant
  
  Posté par carlo le 14 décembre 2007 à 16:59. Évalué à 5.
  
  ok pour le routeur ipv6
  
  mais si [1] un switch est directement connecté à la freebox en ipv6, ça veut dire que tous mes postes récupèrent directement une ip en ipv6 ou pas ? parce que si c'est le cas, je n'ai plus vraiment besoin de routeur puisque mes machines sont toutes sur internet.
  Sinon, si la freebox continue à distribuer qu'une ip mais en ipv6, je comprends qu'en effet il me faut un routeur ipv6.
  
  En même temps vu que iliad/free dit que chaque abonné à maintenant 2^64 adresses, ça semble vouloir dire qu'on peut connecté directement 2^64 terminaux IP sur internet...
  
  [1] je dis peut-être des conneries, mais j'essaye d'éclaircir le sujet dans ma tête
  - [^] # Re: Re : Et maintenant
    
    Posté par carlo le 14 décembre 2007 à 17:03. Évalué à 3.
    
    je me réponds à moi-même.
    
    en gros, ça veut tout simplement dire que je n'ai plus besoin de NAT mais que je peux continuer à utiliser mon routeur comme routeur (:) sans problème.
    Donc si j'ai mes ip en (je simplifie en prenant des ipv4, la numérotation ipv6... hum, il faut que je la révise) 88.1.2.3 88.1.2.4 88.1.2.5, je peux tout simplement mettre l'ip .3 pour mon routeur et connecté les autres postes dessus avec une route qui passe par là. et là sans NAT, ça devrait marcher tout seul.
    
    c'est ça qu'il fallait comprendre ?
    - [^] # Re: Re : Et maintenant
      
      Posté par zul (site web personnel) le 14 décembre 2007 à 17:46. Évalué à 3.
      
      Oui voila.
      
      Il suffit d'obliger tous les paquets à passer par le routeur/firewall avant d'être dispatché sur le reste de ton réseau.
      - [^] # Re: Re : Et maintenant
        
        Posté par Sytoka Modon (site web personnel) le 14 décembre 2007 à 18:32. Évalué à 2.
        
        Attention, la route n'est que dans un seul sens, tu peux très bien avoir des paquets qui prennent une route à l'aller et une autre au retour. Il ne suffit donc pas de mettre sur ton poste comme route par défaut le routeur, il faut s'assurer qu'en entrée, les paquets passent par ce même routeur.
        
        Si tu veux être sur que les paquets passent par le routeur, il faut faire des VLAN et avoir des commutateurs administrable. Avec les VLAN, rajouter des routes sur les postes clients ne suffit pas pour chinter le routeur.
        
        [^] # Re: Re : Et maintenant
        
        Posté par Nico C. le 14 décembre 2007 à 19:08. Évalué à 2.
        
        ou tout simplement plugger la freebox au cul du routeur en direct et la, t'es sur que les paquets vont pas se balader sur le reseau sans etre filtres ;)
        
        [^] # Re: Re : Et maintenant
        
        Posté par zul (site web personnel) le 14 décembre 2007 à 20:05. Évalué à 3.
        
        Au niveau architecture reseau, c'est ce qui me me semble le plus simple. Enfin ce qui serait bien ca serait d'avoir un firewall sur la FreeBOX (enfin c'est là ou ca me parait le mieux)
        
        [^] # Re: Re : Et maintenant
        
        Posté par BAud (site web personnel) le 14 décembre 2007 à 22:44. Évalué à 3.
        
        bin ya iptables àmha, ne manque que l'accès ssh pour le configurer :-)
# Et maintenant ?

Posté par chl (site web personnel) le 14 décembre 2007 à 16:46. Évalué à 10.

Il ne te reste plus qu'a acheter 18 446 744 073 709 551 616 équipements réseaux !

Profites en c'est bientôt Noël.
# et maintenant ?

Posté par M le 14 décembre 2007 à 19:39. Évalué à 6.

Il faut que free ajoute un firewall dans sa freebox.

Parce qu'avant on avait un firewall basique avec le NAT, mais en ipv6 maintenant chaque machine est directement connecté sur le net. Vive les scans de ports et essaye d'intrusion sur les ports sensibles.
- [^] # Re: et maintenant ?
  
  Posté par med le 14 décembre 2007 à 19:58. Évalué à 5.
  
  En même temps scanner 18 446 744 073 709 551 616 adresses sachant que seulement quelques unes sont prises, cela risque de prendre un certain temps, voire un temps certain. Rien n'empêche de mettre un pare-feu sur toutes les machines sinon.
  - [^] # Re: et maintenant ?
    
    Posté par M le 14 décembre 2007 à 20:18. Évalué à 8.
    
    Tu sais les IP ne sont pas anonymes. Des que l'on se ballade sur le net, on la laisse un peu partout.
    
    Rien n'empêche de mettre un pare-feu sur toutes les machines sinon.
    Sauf qu'il faut avoir confiance aux parfeu de certains OS (windows) (et ca bouffe du cpu, RAM), c'est chiant a administrer (surtout que dans la plus part des cas on veut que sur le reseau local les ports ne soit pas bloqué), c'est pas possible sur tout les périphériques (tu peux avoir des périphériques sur ton réseau local qui n'ont pas de parefeu (imprimante, ...), ca rajoute une porte de plus a franchir.
# pourquoi autant d'adresse

Posté par Rémi baudruche le 15 décembre 2007 à 12:52. Évalué à -4.

Pourquoi donner autant d'adresse par abonés ?

moi je pensait qu'on en aurais 256
65536 je comprendrais encore mais alors 18 milliard de milliards, ça fait quand même rudement beaucoup. Non ?

Vous en pensez quoi ?
Ca servira jamais à rien ?
- [^] # Re: pourquoi autant d'adresse
  
  Posté par ribwund le 15 décembre 2007 à 15:53. Évalué à 3.
  
  Dans ipv6 on donne toujours au moins un /64 sinon l'autoconfiguration marche pas.
  http://livre.point6.net/index.php/Unicast_Global

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.